网络安全的实现和管理_复习题1

操作系统资料1《网络安全的管理和实现》复习题不定项选择题1．由于配置了密码安全设置，以下哪些密码是合格的复杂密码？a)123$asdb)Jack123c)yun67tongd)MOE#2005e)Passw0rd答案：26页，ABDE2．PKI解决方案能满足组织的下列哪些安全和技术需求？a)保密性b)完整性c)不可抵赖性d)可用性答案：ABCD3．以下哪个理由不是吊销证书的合法理由？a)密钥泄露b)停止操作c)被取代d)证书到期答案：D名词解释1．数字证书的生命周期:1）向CA提出申请2）CA生成证书3）将证书颁发给提出申请的用户，计算机或服务4）用户，计算机或服务在使用支持PKI的应用程序时使用证书5）证书有效期限结束。此时，证书：1）因为有效期限结束而过期2）被续订。它可能会使用现有密钥对，也可能不使用。2．EFS：加密文件系统3．安全基线：1）服务和应用程序设置2）操作系统组件的配置3）权限和权力的分配4）管理规程问答题1．通常情况下，建立一个安全基可以参考哪些准则？答：1）记录计算机上的所有应用程序和服务，如果没有计算机上的所有软件和硬件组件的完整清单，可能无法保护关键的组件，或者可能忽视需要对基线进行相应调整的硬件更改2）记录操作系统，应用程序和服务所必需的安全设置，包括每一个与安全相关的设置和配置步骤。确保复核这些指导方针以保证实用性3）将设置应用到每台计算机，考虑使用自动化的方式4）建立审核方法以发现基线更改。除了基线更改之外，审核还能发现对计算机设置的更改。2．分发计算机安全策略的方法有哪几种，说明一下方法的优缺点---------------------------------------------WindowsServer2003中的每个组的作用域分为：本地组、全局组、本地域组、通用组4种，其中本地域组驻留在域级别的ActiveDirectory中；本地组：驻留在成员服务器和客户端计算机上，使用本地组授予计算机本地资源的访问权限，通常在非域环境中使用全局组：驻留在域级别的ActiveDirectory中，使用全局组来组织分担相同工作任务和需要操作系统资料2相似网络访问要求的用户，可以是其他全局组、通用组、本地域组的成员本地域组：驻留在域级别的ActiveDirectory中，可以为要在其中创建本地域组的那个域中的资源指派访问权限，可以把所有需要共享相同资源的全局组添加到相应的本地域组通用组：驻留在林级别的ActiveDirectory中，想要嵌套全局组时可以使用通用组，以便为多个域中的资源指派权限，通用组可以是其他通用组、全局组、本地域组的成员，域功能级别是Win2000本机模式或更高时可以使用通用安全组，是win2000混合模式或更高时可使用通用组WindowsServer2003中支持的信任类型：父/子、树/根、外部、领域、林、快捷；父子：存在于林中所有域之间，双向可传递，系统默认情况下创建的，不能被删除树根：存在于林中所有域之间，双向可传递，系统默认情况下创建的，不能被删除外部：存在于不同林的域之间，单向或双向，不可传递领域：存在于非windows系统和Server2003域之间，单向或双向，传递或不可传递的林：存在于处于Server2003林功能模式的林之间，单向或双向，传递或不可传递快捷：存在于Server2003域中，单向或双向NTLM身份验证的工作原理；(P20)①客户端将用户名密码发送到域控制器②域控制器生成一个16位的随机字符串，称为Nonce③客户端用用户密码的哈希加密Nonce，发送回域控制器④域控制器从安全账户数据库中寻找用户密码的哈希⑤域控制器用寻找到的哈希加密Nonce，再和客户端加密的结果比对，若相同则通过身份验证简述PKI体系的组成；(P36)数字证书：是PKI的基础证书颁发机构CA：负责为用户、计算机、服务办法证书并管理证书证书模板：定义了数字证书的内容和用途证书吊销列表CRL：列出了在证书过期之前被CA吊销的证书AIA和CRL分发点CDP：分发点提供了组织内部或外部可获取证书和CRL的位置，AIA扩展指定获取CA最新证书的位置，CDP扩展指定获取CA签名的最新CRL的位置CA和证书管理工具：包括GUI和命令行工具说明独立CA与企业CA之间的区别；(P40)独立CA：①通常作为离线CA，也可以是在线CA，离线CA就是与网络断开的CA，用于防止签署证书的密钥丢失②与ActiveDirectory无关，可以部署在没有ActiveDirectory的环境中③必须通过Web向独立证书颁发机构提出证书申请④所有证书申请必须由证书管理程序颁发或拒绝企业CA：①通常作为颁发CA，为用户、计算机和服务办法证书②必须部署在ActiveDirectory环境中，ActiveDirectory要作为配置和注册的数据库，并为证书提供发布点③可以通过Web和证书申请向导向企业证书颁发机构提出证书申请④证书申请通过与否取决于被申请的证书的证书模板的随机访问控制列表DACL规划CRL发布间隔应遵循哪些标准;（P50）①客户端操作系统；例如win2000就不能使用增量CRL②CRL获取网络负载；过于频繁的CRL发布会导致获取CRL所用的网络流量过大③增量CRL大小；在基本CRL发布之后若间隔过长，会导致产生过大的增量CRL，应该操作系统资料3使用增量CRL降低每次下载CRL的大小，使经常更新更有意义④CRL吊销频率；证书的吊销频率对基本CRL和增量CRL的发布间隔有重大影响，应该及时更新CRL是被吊销的证书能够被及时识别⑤复制延迟；CRL发布间隔受ActiveDirectory目录服务复制延迟的限制，若复制周期为8小时，而发布周期小于8小时，则会导致CRL在复制完成前就不可用，路经验诊过程会失败⑥注册表设置；可以通过修改注册表设置防止前一个CRL过期，但是新的CRL因为复制延迟而没有按时发布到CRL分发点数字证书包含哪些信息;(P60)①来自证书所有者的密钥对的公钥②申请该证书的所有者的信息③办法该证书的CA的信息数字证书的生命周期；(P60)①提出证书申请②CA生成证书③将证书颁发给提出申请的用户、计算机、服务④获得证书的用户、计算机、服务在使用支持PKI的应用程序时使用证书⑤证书有效期到期：证书过期失效/续订证书，或者使用现有密钥对，或者重新使用新的密钥对证书注册的方法有哪些;(P67)用于颁发证书所用注册方法，将由从CA申请证书的CA类型、计算机的物理位置和网络上的颁发CA的类型决定①基于Web②“证书”控制台允许用户或计算机通过“证书”MMC管理单元的证书注册向导从企业CA申请证书③Certreq.exe命令允许用户提交、创建、获取、接受发送给CA的证书申请④自动注册，允许客户端自动向CA发送证书申请和注册证书，只有WinXP和WinServer2003或更高的操作系统可以运行自动注册⑤注册代理，使用注册代理证书签署证书申请，可以为其他用户申请“智能卡登陆”证书和“智能卡用户”证书密钥存档和恢复的要求有哪些;(P73)要在组织中完成密钥存档恢复，必须先确定CA是否满足密钥存档的基本要求①模板2的证书模板②CA运行WindowsServer2003③CMS的证书管理信息协议④具有WindowsServer2003架构扩展的ActiveDirectory，使用adprep.exe命令将第一个Server2003域控制器加入林中时，会自动安装架构扩展配置CA进行密钥存档的步骤有哪些;(P73)①设置模板权限②配置CA颁发KRA模板③为用户颁发KRA④批准KRA证书⑤安装批准的KRA证书⑥配置CA使用恢复代理操作系统资料4⑦配置新模板使用恢复代理⑧配置CA基于新模板颁发证书当用户或计算机丢失了与数字证书相关的私钥时，可以启动密钥恢复过程，密钥恢复过程有哪些步骤;(P75)当用户或计算机丢失了与证书相关的私钥时可启动密钥恢复，若证书已经通过证密钥存档归档，则可采取步骤：①用户或颁发了证书的CA的证书管理者确定证书的序列号②证书管理者从CA数据库中提取证书和加密的私钥，输出为PKCS#7文件③将PKCS#7文件交给密钥恢复代理KRA④KRA在恢复工作站中从PKCS#7中恢复私钥和证书，保存为PKCS#12文件，KRA提供密码进行保护⑤将PKCS#12文件交给用户，用户提供KRA指定的密码，并使用证书导入向导将私钥和证书导入证书存储区密钥恢复较简单的办法是使用资源工具包中的密钥恢复工具Krt.exe使用智能卡进行多因素身份验证的好处有哪些;(P84)①保护，智能卡为私钥和其他数据提供安全的防修改存储保护②隔离，所有加密过程都在智能卡上完成，与计算机和网络无关，将安全敏感数据和系统的其他部分隔离开来了③可移动性，智能卡上存储的数据可在计算机、网络之间快速传递④单独使用，智能卡同时只能被一个用户使用WindowsServer2003中提供哪几种证书模板支持智能卡的使用，它们的区别是什么;(P91)部署智能卡架构时还应该考虑要使用的智能卡证书模板，模板提供了一组规则和设置，根据证书预期的用途和证书颁发给用户的方式来定义证书的设置WindowsServer2003支持多种证书模板来支持智能卡的使用：①注册代理，允许授权用户作为代表其他用户的证书请求代理②智能卡登陆，用户可以通过智能卡登陆③智能卡用户，用户可以通过智能卡登陆并签署电子邮件在WindowsServer2003中的组策略中，包含哪些和智能卡相关的设置，它们的作用是什么;(P95)①交互式登陆：要求智能卡登陆，用户不能使用用户名密码登陆，必须使用智能卡登陆②交互式登陆：智能卡移除操作，强制用户在拔除智能卡时注销或锁定他们的计算机③交互式登陆：不允许智能卡设备重定向，可以防止智能卡设备和终端服务会话结合使用简述EFS的工作原理；(P101)EFS由用户模式的DDL动态链接库和内核模式的驱动共同构成，他们和NTFS一起合作共同启动EFSEFS驱动和NTFS文件系统驱动联系紧密，当NTFS处理加密文件时需要调用EFS的加密函数，当应用程序访问文件时，EFS负责加密和解密文件，EFS依赖于Server2003内置的加密支持①用户首次加密文件，EFS会在本地证书储存区寻找供EFS使用的证书②若证书存在且可用，用户已将某个文件标记为加密，EFS则为该文件生成一个16位的随机数称为文件加密密钥KFS，用KFS加密文件内容，使用DESX、3DES、AES算法③若证书不存在，EFS则向联机CA提交证书申请，若不存在证书颁发机构，则生成自签名证书④EFS取出用户证书中指定与EFS一起使用的公钥，使用基于公钥的RSA算法来加密FEK操作系统资料5⑤EFS将加密后的FEK存储在正在加密文件的文件头的数据解密字段DDF中。若恢复代理可用，也可使用恢复代理的公钥来加密FEK。完成加密后，用户没有FEK指定的私钥的情况下，无法获取FEK来解密文件部署安全模版的方式有哪几种？组策略如果多台计算机有着相同的安全配置需求，那组策略是将安全模板部署到这些计算机的首选方式“安全配置和分析”管理单元脚本编制怎么使用脚本编制从HighSecurity-MemberServerBaseline.inf安全模板中将用户权限分配导入到计算机中？(P135-136)组策略，“安全配置和分析”管理单元，脚本编制(使用Secedit.exe)secedit.exe/configure/dbsecedit.sdb/cfgEnterpriseClient-MemberServerBaseline.inf/overwrite/areasUSER_RIGHTS/logsec_config.log当通过使用组策略应用安全模板时，如果未能将组策略应用到系统时，解决该问题的步骤有哪些？(P138)答案：1）使用Gpupdate刷新策略2）分析Gpresult的输出以解释GPO被筛选掉的原因3）通过域控制器同步客户端计算机上的时间，验证是否正确设置了时区4）检查制定给希望优先应用的组策略的权限。验证用户具有“允